Hugging Face wykorzystany do dystrybucji tysięcy wariantów malware na Androida: kampania TrustBastion i „Premium Club” - Security Bez Tabu

Hugging Face wykorzystany do dystrybucji tysięcy wariantów malware na Androida: kampania TrustBastion i „Premium Club”

Wprowadzenie do problemu / definicja luki

W końcówce stycznia 2026 r. badacze opisali kampanię Android RAT, w której przestępcy wykorzystali Hugging Face jako „zaufaną” infrastrukturę do hostowania i pobierania złośliwych plików APK. To nie jest klasyczna „luka” w sensie CVE, lecz nadużycie platformy (abuse): atakujący składowali payload w repozytoriach/datasetach, a ofiara pobierała go z domen i CDN, które rzadziej wzbudzają podejrzenia lub blokady.

W skrócie

  • Infekcja startowała od droppera „TrustBastion” podszywającego się pod narzędzie bezpieczeństwa i straszącego „zainfekowanym telefonem”.
  • Dropper nie serwował malware bezpośrednio – pobierał link przekierowujący do datasetu na Hugging Face, skąd ściągany był docelowy APK (również przez CDN Hugging Face).
  • Kampania używała polimorfizmu po stronie serwera: nowe warianty payloadu pojawiały się ~co 15 minut; repozytorium miało >6 tys. commitów w ~29 dni.
  • Payload nadużywał Accessibility Services oraz żądał uprawnień do overlay, przechwytywania ekranu itp., by kraść dane logowania (m.in. podszycia pod Alipay i WeChat) i utrzymać kontrolę.

Kontekst / historia / powiązania

To zdarzenie wpisuje się w szerszy trend: platformy współdzielenia artefaktów (repozytoria kodu, paczek, modeli, datasetów) są atrakcyjne dla atakujących, bo zapewniają:

  • renomę domeny (mniejsza podejrzaność),
  • wygodny hosting i dystrybucję,
  • szybkie iteracje (automatyzacja publikacji nowych wariantów).

W przypadku Hugging Face problem nie jest nowy: społeczność i firmy bezpieczeństwa od co najmniej 2024 r. ostrzegają przed możliwością dostarczania złośliwych treści (np. modeli prowadzących do wykonania kodu przy ładowaniu).
Jednocześnie Hugging Face rozwija mechanizmy bezpieczeństwa dla zasobów AI (np. skanowanie i alerty realizowane we współpracy z Protect AI), ale omawiana kampania pokazuje, że przestępcy potrafią „zmieścić się” w lukach kontroli treści – szczególnie gdy w grę wchodzą pliki binarne/instalatory i agresywny polimorfizm.

Analiza techniczna / szczegóły luki

1) Łańcuch infekcji (dropper → payload)

  1. Ofiara trafia na reklamę/scareware sugerującą infekcję i instalację „ochrony”. Instaluje aplikację TrustBastion (sideload).
  2. Po uruchomieniu dropper wyświetla obowiązkowy „update” z elementami łudząco podobnymi do Google Play/systemu.
  3. Dropper łączy się z trustbastion[.]com, ale zamiast pobierać APK, dostaje odpowiedź zawierającą URL do Hugging Face (dataset/repo), skąd pobiera finalny payload (APK) – finalnie po redirect do CDN Hugging Face.

2) Skala i polimorfizm

Bitdefender odnotował masowe tempo zmian: nowe buildy wrzucane ok. co 15 minut, a repozytorium miało ponad 6000 commitów przy wieku ok. 29 dni (w momencie analizy). Cel: omijanie detekcji opartej o hashe.

3) Zachowanie payloadu (RAT/spyware)

Po instalacji payload:

  • nakłania do włączenia Accessibility Services, podszywając prośbę pod „funkcję bezpieczeństwa/verification”; po uzyskaniu dostępu RAT zyskuje szeroką obserwowalność i kontrolę interakcji użytkownika,
  • dodatkowo prosi o uprawnienia umożliwiające nagrywanie/udostępnianie ekranu oraz overlay, co pozwala przechwytywać i manipulować treścią na ekranie w czasie rzeczywistym,
  • pokazuje fałszywe ekrany logowania (m.in. podszycia pod Alipay i WeChat) w celu kradzieży danych uwierzytelniających oraz przechwytuje informacje dot. blokady ekranu.

4) C2 i wskaźniki (IOCs) z publikacji badaczy

W raporcie wskazano m.in.:

  • C2: IP 154.198.48.57 (port 5000) i domenę trustbastion[.]com, a także w „drugiej fali” au-club[.]top oraz IP 108.187.7.133.
  • przykładowe nazwy pakietów: m.in. rgp.lergld.vhrthg oraz com.nrb.phayrucq.

Uwaga operacyjna: IoC szybko się „starzeją” w kampaniach polimorficznych. Traktuj je jako punkt startowy do polowań (threat hunting), nie jako jedyny warunek blokady.

Praktyczne konsekwencje / ryzyko

  • Dla użytkowników: przejęcie kont finansowych/płatniczych (phishing overlay + przechwytywanie ekranu), utrata kontroli nad urządzeniem (nadużycia Accessibility), potencjalne blokowanie prób usunięcia.
  • Dla organizacji: ryzyko kompromitacji telefonów służbowych (BYOD/COPE), eskalacja do wycieku danych (np. kody jednorazowe, dane logowania, treści ekranów), a także trudniejsze blokowanie ze względu na „zaufany” kanał pobierania (Hugging Face/CDN).
  • Dla platform: presja na rozszerzanie skanowania treści (nie tylko typowe pliki ML), lepsze reagowanie na abuse i wykrywanie anomalii (np. tysiące commitów w krótkim czasie w datasetach z binariami).

Rekomendacje operacyjne / co zrobić teraz

Jeśli bronisz środowiska firmowego (SOC/IT/MDM)

  1. Zablokuj sideloading (instalacje spoza sklepów) politykami MDM – to kluczowy punkt wejścia w tej kampanii.
  2. Wymuś polityki dla Accessibility Services: blokada/whitelist, alerty na nowe usługi dostępności, korelacja z overlay/screen capture.
  3. Dodaj detekcje sieciowe:
    • połączenia do wskazanych domen/IP (z zastrzeżeniem rotacji infrastruktury),
    • nietypowe pobrania plików APK z endpointów typu huggingface.co/.../resolve/.../*.apk.
  4. Threat hunting na urządzeniach: szukaj nazw pakietów wskazanych w IoC i anomalii uprawnień (Accessibility + overlay + screen capture).

Jeśli jesteś użytkownikiem Androida

  • Instaluj aplikacje wyłącznie z oficjalnych sklepów, unikaj „antywirusów” z reklam straszących infekcją.
  • Gdy aplikacja prosi o Ułatwienia dostępu, overlay lub przechwytywanie ekranu „bo inaczej nie zadziała” — potraktuj to jako czerwony alarm.

Jeśli utrzymujesz repozytoria/artefakty (DevSecOps / platform security)

  • Monitoruj i automatycznie flaguj:
    • nietypowe typy plików (np. APK w datasetach),
    • wysoką dynamikę commitów,
    • repozytoria służące wyłącznie jako „magazyn binarek”.
  • Rozważ skanowanie wielowarstwowe (signatures + heurystyka + reputacja) oraz szybki proces takedown po zgłoszeniach — w tej kampanii zgłoszenie doprowadziło do usunięcia złośliwych datasetów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Tu Hugging Face był użyty głównie jako hosting payloadu APK i kanał dystrybucji (zaufana domena + CDN) w kampanii mobilnej.
  • W innych incydentach związanych z Hugging Face ryzyko częściej dotyczyło złośliwych modeli/plików typu pickle i wykonania kodu po stronie środowisk ML (supply chain dla data science). To inna powierzchnia ataku, ale wspólny mianownik jest ten sam: nadużycie otwartego ekosystemu dystrybucji artefaktów.

Podsumowanie / kluczowe wnioski

  1. Kampania TrustBastion pokazuje, że atakujący potrafią skutecznie wykorzystywać zaufane platformy (tu: Hugging Face) jako etap dystrybucji malware.
  2. Polimorfizm co ~15 minut i tysiące commitów w krótkim czasie to sygnał, że obrona „po hashach” nie wystarcza – potrzebne są detekcje behawioralne i kontrola uprawnień.
  3. W Androidzie krytycznym wektorem jest Accessibility + overlay/screen capture: to duet, który umożliwia realne przejęcie sesji i kradzież danych finansowych.

Źródła / bibliografia

  1. BleepingComputer – opis kampanii i kontekst nadużycia Hugging Face (29 stycznia 2026). (BleepingComputer)
  2. Bitdefender Labs – analiza techniczna TrustBastion/Premium Club, polimorfizm, uprawnienia, C2, IoC (29 stycznia 2026). (Bitdefender)
  3. Hugging Face Docs – mechanizm Malware Scanning (ClamAV) dla repozytoriów. (Hugging Face)
  4. Hugging Face Blog – współpraca z Protect AI i skanowanie modeli/alerty bezpieczeństwa (kwiecień 2025). (Hugging Face)
  5. JFrog Security Research – kontekst złośliwych modeli na Hugging Face i ryzyk supply chain (luty 2024). (JFrog)